Злоумышленники внедрили майнер на 200 тыс. роутеров MikroTik

Около 200 тыс. роутеров MikroTik оказались заражены майнером, который манипулирует пользовательским трафиком для генерации криптовалюты Monero. Злоумышленники эксплуатируют 0-day, чтобы изменить конфигурацию устройства и внедрить скрипт в код загружаемых страниц. Первоначально атака была нацелена только на Бразилию, но позже распространилась по всему миру.

Криминальную активность обнаружил исследователь с ником MalwareHunterBR. Он сообщил, что злоумышленник использует апрельский баг в прошивке роутеров MikroTik, чтобы запускать на них скрипт майнера Coinhive. Производитель закрыл уязвимость через день после публикации эксплойта, однако не все владельцы скомпрометированных устройств установили патч.

Факт атаки подтвердили специалисты компании Trustwave, сообщившие о 72 тыс. инфицированных роутеров на территории Бразилии. Через несколько дней исследователи выяснили, что вредоносная кампания вышла за пределы Латинской Америки и охватила более 175 тыс. устройств по всему миру.

Первоначально мошенники обрабатывали при помощи Coinhive все страницы, открытые на взломанных роутерах, однако позже стали внедрять скрипт только на те, которые возвращали ошибку. Исследователи полагают, что это способ не привлекать внимание систем безопасности.

Однако майнер все равно получал огромное количество вычислительной мощности. Среди скомпрометированных устройств оказались маршрутизаторы бразильских интернет-провайдеров, и Coinhive использовал трафик их клиентов для генерации криптовалюты.

За первой стадией атаки стоит один злоумышленник или преступная группа, так как скрипт применял одинаковый криптоключ на всех инфицированных устройствах. Позднее исследователи обнаружили еще около 25 тыс. взломанных роутеров, где использовался другой аккаунт Coinhive.

Таким образом, общее число пораженных маршрутизаторов достигло 200 тыс. Пока не ясно, является ли новая кампания делом рук того же нападающего или в игру вступил новый мошенник.

Источник: https://threatpost.ru/mikrotik-routers-hacked-for-cryptojacking/27538/